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Bescheinigung 



Die Siemens Aktiengesellschaft in Munchen/Deutschland hat eine Patentanmel- 
dung unter der Bezeichnung 



am 30. Marz 1998 beim Deutschen Patent- und Markenamt eingereicht. 

Die angehefteten Stucke sind eine richtige und genaue Wiedergabe der urspriing- 
lichen Unterlagen dieser Patentanmeldung. 

Die Anmeldung hat im Deutschen Patent- und Markenamt vorlaufig das Symbol 
G 06 F 11/30 der Internationalen Patentklassifikation erhalten. 



Datenubertragungsverfahren" 



Munchen, den 14. April 1999 
Deutsches Patent- und Markenamt 



Der President 



Im Auftrag 



Aktenzeichen: 198 14 102.5 
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Beschreibung 

Da t eniibe r t r agung sverfahren 

Die vorliegende Erfindung betrifft ein Datenubertragungsver- 
fahren zwischen einer sicheren Recheneinheit , z.B. einer feh- 
lersicheren speicherprograxnmierbaren Steuerung, und einer An- 
zahl von Ein-/Ausgabeeinheiten uber eine an die sichere Re- 
cheneinheit angeschlossene Bussteuereinheit und ein serielles 
Bussystem, wobei die Bussteuereinheit zyklisch die an das 
Bussystem angeschlossenen Ein-/Ausgabeeinheiten anspricht und 
eine Mehrbitnachricht an die jeweils angesprochene Ein-/Aus- 
gabeeinheit ubermittelt . 

Ein derartiges Datenubertragungsverf ahren ist z.B. unter. der 
Bezeichnung AS-i (= Aktuator-Sensor- Interface) bekannt . 

Bei Anlagen und Maschinen der industriellen Automatisierungs- 
technik mussen gefahrliche Zustande sicher erkannt und die 
gesteuerte Anlage bzw. Maschine in einem solchen Fall in ei- 
nen sicheren Zustand uberfuhrt werden. Zur Ubertragung derart 
sicherheitsrelevanter Signale werden im Stand der Technik zu- 
meist eigene Erfassungs-, Verkabelungs- und Auswertesysteme 
eingesetzt . 

Das Verwenden eigener Erfassungs-, Verkabelungs- und Auswer- 
tesysteme erfordert insbesondere einen hohen Verdrahtungsauf - 
wand und birgt die Gefahr von Fehlverdrahtungen in sich. Es 
existieren daher Bestrebungen, auch sicherheitsrelevante Si- 
gnale uber ein Bussystem zu ubertragen. Die Sicherheit und 
Zuverlassigkeit der Datenubertragung darf durch ein solches 
Bussystem aber nicht beeintrachtigt werden. 

Die sicherheitsrelevanten Signale konnten zwar liber ein sepa- 
rates, f ehlersicheres Bussystem ubertragen werden. Dies lauft 
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aber der allgemeinen Tendenz zur Minimierung des Verkabe- 
lungsauf wands entgegen . 

Die Aufgabe der vorliegenden Erfindung besteht somit darin, 
ein Dateniibertragungsverf ahren zur Verfiigung zu stellen, mit- 
tels dessen es moglich ist, uber ein nicht f ehlersicheres 
Bussystem sicherheitsrelevante Signale zu ubertragen. 

Die Aufgabe wird bei einem Dateniibertragungsverf ahren der 
eingangs genannten Art dadurch gelds t, daS mindestens eine 
der Ein-/Ausgabeeinheiten als Sicherheitseinheit ausgebildet 
ist, dafi die an die Sicherheitseinheit ubermittelte Mehrbit- 
nachricht mindestens ein Kontrollbit aufweist und daS die Si- 
cherheitseinheit die ubermittelte Mehrbitnachricht nur dann 
als ordnungsgemaS interpretiert , wenn das Kontrollbit inner- 
halb einer vorbestimmten Uberwachungszeit alterniert. 

Denn hierdurch wird ein unsicherer Zustand nicht nur dann 
vermieden, wenn uberhaupt keine Mehrbitnachrichten mehr uber- 
tragen werden, z.B. bei einem Ausfall der Bussteuereinheit . 
Ein unsicherer Zustand wird auch dann vermieden, wenn fehler- 
hafte Mehrbitnachrichten ubertragen werden. 

Wenn die Sicherheitseinheit als Ausgabeeinheit zum Ansteuern 
eines Ausgangs ausgebildet ist, kann sie z.B. ein Zeitglied 
aufweisen, das bei Ablauf der Uberwachungszeit den Ausgang in 
einen sicheren Zustand uberfuhrt, wobei das Zeitglied bei je- 
dem Ubermitteln einer ordnungsgemaSen Mehrbitnachricht zu- 
ruckgesetzt wird. 

Das Dateniibertragungsverf ahren ist noch sicherer, wenn die 
Sicherheitseinheit unter zwei verschiedenen Adressen an- 
sprechbar ist, der Sicherheitseinheit unter den beiden Adres- 
sen jeweils eine Mehrbitnachricht iibermittelt wird und die 
Sicherheitseinheit die iibermittelten Mehrbitnachrichten nur 



GR 98 P 3222 




3 

dann als ordnungsgemafi interpret iert, wenn die beiden Mehr- 
bitnachrichten miteinander korrespondieren . 

Die Mehrbitnachricht besteht vorzugsweise aus mindestens vier 
Nutzbit. 

Weitere Vorteile und Einzelheiten ergeben sich aus der nach- 
folgenden Beschreibung eines Ausf uhrungsbeispiels . Dabei zei- 
gen in Prinzipdarstellung 

FIG 1 ein Dateniibertragungs system, 

FIG 2 einen Datentransf er und 

FIG 3 eine Sicherheitseinheit . 

GemaS FIG 1 besteht ein Datenubertragungssystem aus einer si- 
cheren Recheneinheit 1 und einer Anzahl von Ein-/Ausgabeein- 
heiten 2 bis 4. Die sichere Recheneinheit 1 ist im vorliegen- 
den Fall als f ehlersichere speicherprogrammierbare Steuerung 
ausgebildet. Eine derartige speicherprogrammierbare Steuerung 
wird z.B. von der Siemens AG unter der Bezeichnung SIMATIC 
S5-95F hergestellt und vertrieben. 

Die Ein-/Ausgabeeinheiten 2, 3 sind ubliche Ein-/Ausgabeein- 
heiten, mittels derer bis zu vier Binarsignale pro Einheit 
verarbeitbar sind. Die Ein-/Ausgabeeinheit 4 hingegen ist ei- 
ne Sicherheitseinheit. Sie kann genau ein Binardatum verar- 
beiten. Prinzipiell konnte die Sicherheitseinheit 4 aber auch 
mehr Daten verarbeiten. Entscheidend ist, daS sie mindestens 
ein Datum weniger verarbeitet als Nutzbit an sie ubertragen 
werden. Denn dann kann dieses redundante Nutzbit zum Uberpru- 
fen des Datenubertragungssystems verwendet werden. 

Die Ein-/Ausgabeeinheiten 2 bis 4 sind an ein serielles Bus- 
system 5 angeschlossen . An das Bussystem 5 ist ferner eine 
Bussteuereinheit 6 angeschlossen, die ihrerseits wiederum an 
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die sichere Recheneinheit 1 angeschlossen ist. Zur Datenuber- 
tragung zwischen der sicheren Recheneinheit 1 und den Ein-/ 
Ausgabeeinheiten 2 bis 4 steuert die sichere Recheneinheit 1 
die Bussteuereinheit 6 an. Diese spricht nacheinander die 
Ein- /Ausgabeeinheiten 2 bis 4 an und ubermittelt eine aus 
mindestens vier Nutzbit bestehende Mehrbitnachricht 8 an die 
jeweils angesprochene Ein- /Ausgabeeinheit 2 bis 4. 

Das Format eines Datentransf ers ist in FIG 2 dargestellt. Ge- 
maS FIG 2 sendet die Bussteuereinheit 6 nach einem Startbit 
7' und einem Steuerbit 7" zunachst eine Adresse 7 uber das 
Bussystem 5, um eine der Ein- /Ausgabeeinheiten 2 bis 4 anzu- 
sprechen. Sodann sendet sie die Mehrbitnachricht 8, die aus 
fttnf Nutzbit besteht. Das erste Nutzbit ist ein Umschaltbit, 
das von der angesprochenen Ein- /Ausgabeeinheit 2 bis 4 intern 
verarbeitet wird. Das zweite bis funfte Nutzbit sind die ei- 
gentlichen Daten. An die Mehrbitnachricht 8 schliefien sich 
ein Prufbit 8' und ein Endebit 8" an. 

Die angesprochene Ein- /Ausgabeeinheit 2 bis 4 sendet nach ei- 
nem Startbit 7' eine Antwort 9 zuriick, die aus vier Nutzbit 
besteht. An die Antwort 9 schlieSen sich wieder ein Prufbit 
8' und ein Endebit 8 W an. 

Die Adresse 7 wird von der Bussteuereinheit 6 nach jedem Da- 
tentransf er inkrementiert , bis alle Ein- /Ausgabeeinheiten 2 
bis 4 angesprochen sind. Dann wird wieder die Ein- /Ausgabe- 
einheit 2 bis 4 mit der niedrigsten Adresse angesprochen, und 
der Zyklus beginnt von neuem. 

GemaS FIG 3 ist die Sicherheitseinheit 4 im vorliegenden Fall 
als Ausgabeeinheit zum Ansteuern eines Ausgangs 10 ausgebil- 
det. Der Sicherheitseinheit 4 wird also von der Bussteuerein- 
heit 6 ubermittelt, ob der Ausgang 10 angesteuert werden soil 
oder nicht . Der Ausgang 10 darf dabei nur dann angesteuert 
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■n sicherer Zustand einer gesteuerten Anlage 
werden, wenn ein sicner ^ orl ieat Von der gesteuerten 

angesteuerten Zustand UberrUfcrt werden. 

• -i, fur den Ausgang 10 wertet 
zur Er.ittiung des £ ^ ±tm Nutz bit der 

die Sicfcerneitseinfceit 4 — t das - ^ ^ 

O^itteXten «^^^ ~ Ausgan g X0 angesteuert. 
, Nutzbit den Wert E.ns nat w ^ ^ ange . 

Ansonsten wird der Ausgang 10 in d 
steuerten Zustand ttberf uhrt . 

fwir- die Sicherheits- 
D as dri- - -s vierte --^n:^. Mit ihne n kennten 

S einfceit 4 i. ^^j;^ ngs an.esteuert werden. 
aber gegebenenf alls wertere a 

. w f der Mehrbitnachricht 8 1st ein Kontroll- 
D as ftinfte Xutzbrt der Meh hrC . Das zeitglied 13 

bit . Bs wird eine m ^ ^ ™ fQhrte Kon _ 

20 wird ,ede Sm al "^^J^ Kontrollbit al- 

t rollbit ^- gl ^ a f S Ro ^ ollbit hingag en seinen Wert bei. so 
T' zXl i- 13 nac h einer vorbesti^ten Oberwacfcungs- 
w lauft das Zeitgliea j- zeitglied 13 ein 

^ zeit ab. xn diese, rail 0b.»«. - £ £ » „ auch 

25 Null-Signal an ein UND-Glied 12. s ° ubergeht . 

in diese* Fall in den nicnt ™*^2Zr~ zusCand der g e- 
Auc „ in dieses Fall wird also -» vermie den. Die 

sC euerten Anlage bz« ^ « daS einerseits 

Oberwaohungszext rst da B usverkehr stets ein 

30 bei ^.««*^^r a ^^li-- » vor dessen Ablau, 
rechtze.tiges RucKsetzen ord nun g sgema S en Bus- 

erfolgt and andererse.ts ber •»» maschi nenspezif i- 

verkebr spatestens nacn e.ner anlagen angesteuerte „ 
schen Reaktionszeit der Ausgang 10 « den 



35 zustand ubergeht. 
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3 . Dateniibertragungsverf ahren nach Anspruch 1 oder 2 , 
dadurch gekennzeichnet, 

- daS die Sicherheitseinheit (4) unter zwei verschiedenen 
Adressen ansprechbar ist, 

5 - dafi der Sicherheitseinheit (4) unter den beiden Adressen 
jeweils eine Mehrbitnachricht (8) ubermittelt wird und 

- daS die Sicherheitseinheit (4) die ubermittelten Mehrbit- 
nachrichten (8) nur dann als ordnungsgemaS interpretiert , 
wenn die beiden Mehrbitnachrichten (8) miteinander korre- 

10 spondieren. 

4 . Dateniibertragungsverf ahren nach Anspruch 1 , 2 oder 3 , 
dadurch gekennzeichnet, dafc die Mehr- 
bitnachricht (8) aus mindestens vier Nutzbit besteht . 

15 
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